Dans le monde des réseaux informatiques, une ACL est l’un des composants les plus fondamentaux de la sécurité.
Une liste de contrôle d’accès « ACL » est une fonction qui surveille le trafic entrant et sortant et le compare à un ensemble d’instructions définies.
Dans cet article, nous allons approfondir la fonctionnalité des ACL et répondre aux questions courantes suivantes sur les ACL ?
- Qu’est-ce qu’une liste de contrôle d’accès ?
- Pourquoi utiliser une ACL ?
- Où pouvez-vous placer une ACL ?
- Quels sont les composants d’une ACL ?
- Quels sont les types d’ACL ?
- Comment implémenter une ACL sur un routeur ?
Table des matieres
Qu’est-ce qu’une liste de contrôle d’accès ?
Les listes de contrôle d’accès “ACL” sont des filtres de trafic réseau qui peuvent contrôler le trafic entrant ou sortant.
Les ACL fonctionnent sur un ensemble de règles qui définissent comment transférer ou bloquer un paquet à l’interface du routeur.
Une ACL est identique à un pare-feu sans état, qui restreint, bloque ou autorise uniquement les paquets qui circulent de la source à la destination.
Lorsque vous définissez une ACL sur un périphérique de routage pour une interface spécifique, tout le trafic transitant sera comparé à l’instruction ACL qui la bloquera ou l’autorisera.
Les critères de définition des règles ACL peuvent être la source, la destination, un protocole spécifique ou d’autres informations.
Les ACL sont courantes dans les routeurs ou les pare-feu, mais ils peuvent également les configurer dans n’importe quel périphérique qui s’exécute sur le réseau, à partir d’hôtes, de périphériques réseau, de serveurs, etc.
Pourquoi utiliser une ACL ?
L’idée principale de l’utilisation d’une ACL est d’assurer la sécurité de votre réseau. Sans cela, tout trafic est autorisé à entrer ou à sortir, ce qui le rend plus vulnérable au trafic indésirable et dangereux.
Pour améliorer la sécurité avec une ACL, vous pouvez, par exemple, refuser des mises à jour de routage spécifiques ou fournir un contrôle du flux de trafic.
Comme le montre l’image ci-dessous, le périphérique de routage a une ACL qui refuse l’accès à l’hôte C dans le réseau financier, et en même temps, il autorise l’accès à l’hôte D .
Avec une ACL, vous pouvez filtrer les paquets pour une seule ou un groupe d’adresses IP ou différents protocoles, tels que TCP ou UDP.
Ainsi, par exemple, au lieu de bloquer un seul hôte dans l’équipe d’ingénierie, vous pouvez refuser l’accès à l’ensemble du réseau et n’en autoriser qu’un seul. Ou vous pouvez également restreindre l’accès à l’hôte C.
Si l’ingénieur de l’hôte C a besoin d’accéder à un serveur Web situé dans le réseau financier, vous ne pouvez autoriser que le port 80 et bloquer tout le reste.
Où pouvez-vous placer une ACL ?
Les appareils qui font face à des réseaux externes inconnus, comme Internet, doivent avoir un moyen de filtrer le trafic. Ainsi, l’un des meilleurs endroits pour configurer une ACL est sur les routeurs de périphérie.
Un dispositif de routage avec une ACL peut être placé face à Internet et connecter la DMZ (De-Militarized Zone), qui est une zone tampon qui divise l’Internet public et le réseau privé.
La DMZ est réservée aux serveurs nécessitant un accès depuis l’extérieur, tels que les serveurs Web, les serveurs d’applications, les serveurs DNS, les VPN, etc.
Comme le montre l’image ci-dessous, la conception montre une DMZ divisée par deux appareils, l’un qui sépare la zone de confiance de la DMZ et l’autre qui la sépare d’Internet (réseau public).
Le routeur faisant face à Internet agit comme une passerelle pour tous les réseaux extérieurs. Il fournit une sécurité générale en empêchant les sous-réseaux plus grands de sortir ou d’entrer.
Vous pouvez également configurer une ACL dans ce routeur pour vous protéger contre des ports bien connus spécifiques (TCP ou UDP).
Le routeur interne, situé entre la DMZ et la zone de confiance, peut être configuré avec des règles plus restrictives pour protéger le réseau interne. Cependant, c’est un excellent endroit pour choisir un pare-feu avec état plutôt qu’une ACL.
Mais pourquoi est-il préférable de placer une ACL plutôt qu’un pare-feu avec état pour protéger la DMZ ?
Les ACL sont directement configurées dans le matériel de transfert d’un appareil, de sorte qu’elles ne compromettent pas les performances finales.
Placer un pare-feu avec état pour protéger une DMZ peut compromettre les performances de votre réseau.
Le choix d’un routeur ACL pour protéger les actifs hautes performances, tels que les applications ou les serveurs, peut être une meilleure option. Bien que les ACL puissent ne pas fournir le niveau de sécurité offert par un pare-feu avec état, elles sont optimales pour les points de terminaison du réseau qui ont besoin d’une vitesse élevée et d’une protection nécessaire.
Quels sont les composants d’une ACL ?
L’implémentation des ACL est assez similaire dans la plupart des plates-formes de routage, qui ont toutes des directives générales pour les configurer.
N’oubliez pas qu’une ACL est un ensemble de règles ou d’entrées. Vous pouvez avoir une liste de contrôle d’accès avec une ou plusieurs entrées, où chacune est censée faire quelque chose, cela peut être tout autoriser ou ne rien bloquer.
Lorsque vous définissez une entrée ACL, vous aurez besoin des informations nécessaires.
- Numéro de séquence :
identifie une entrée ACL à l’aide d’un numéro. - Nom ACL :
définissez une entrée ACL à l’aide d’un nom. Au lieu d’utiliser une séquence de chiffres, certains routeurs autorisent une combinaison de lettres et de chiffres. - Remarque :
Certains routeurs permettent d’ajouter des commentaires dans une ACL, ce qui peut vous aider à ajouter des descriptions détaillées. - Déclaration :
refuser ou autoriser une source spécifique en fonction de l’adresse et du masque générique. Certains périphériques de routage, tels que Cisco, configurent par défaut une instruction de refus implicite à la fin de chaque ACL. - Protocole réseau :
spécifiez si vous refusez/autorisez IP, IPX, ICMP, TCP, UDP, NetBIOS, etc. - Source ou destination :
Définissez la cible source ou destination comme une adresse IP unique, une plage d’adresses (CIDR) ou toutes les adresses. - Journal :
certains périphériques sont capables de conserver des journaux lorsque des correspondances ACL sont trouvées. - Autres critères :
les ACL avancées vous permettent d’utiliser le trafic de contrôle via le type de service (ToS), la priorité IP et la priorité DSCP (Differentiated Services Codepoint).
Quels sont les types d’ACL ?
Il existe quatre types d’ACL que vous pouvez utiliser à des fins différentes : les ACL standard, étendues, dynamiques, réflexives et basées sur le temps.
1. LCA standard
L’ACL standard vise à protéger un réseau en utilisant uniquement l’adresse source.
C’est le type le plus basique et peut être utilisé pour des déploiements simples, mais malheureusement, il n’offre pas une sécurité renforcée. La configuration d’une ACL standard sur un routeur Cisco est la suivante :
2. LCA étendue
Avec l’ACL étendue, vous pouvez également bloquer la source et la destination pour des hôtes uniques ou des réseaux entiers.
Vous pouvez également utiliser une liste de contrôle d’accès étendue pour filtrer le trafic en fonction des informations de protocole (IP, ICMP, TCP, UDP).
La configuration d’une liste de contrôle d’accès étendue dans un routeur Cisco pour TCP est la suivante :
3. LCA dynamique
Les ACL dynamiques reposent sur des ACL étendues, Telnet et l’authentification. Ce type d’ACL est souvent appelé “Lock and Key” et peut être utilisé pour des délais spécifiques.
Ces listes autorisent l’accès d’un utilisateur à une source ou une destination uniquement si l’utilisateur s’authentifie auprès de l’appareil via Telnet.
Voici la configuration d’une ACL dynamique dans un routeur Cisco .
4. ACL réflexif
Les ACL réflexives sont également appelées ACL de session IP. Ces types d’ACL filtrent le trafic en fonction des informations de session de la couche supérieure.
Ils réagissent aux sessions créées à l’intérieur du routeur pour autoriser le trafic sortant ou restreindre le trafic entrant. Le routeur reconnaît le trafic ACL sortant et crée une nouvelle entrée ACL pour le trafic entrant.
Une fois la session terminée, l’entrée est supprimée.
La configuration d’une ACL réflexive dans un routeur Cisco est la suivante :
Comment implémenter une ACL sur votre routeur ?
Comprendre le trafic d’entrée et de sortie (ou entrant et sortant) dans un routeur est essentiel pour une mise en œuvre correcte de l’ACL.
Lors de la définition de règles pour une ACL, tous les flux de trafic sont basés sur le point de vue de l’interface du routeur (et non sur les autres réseaux).
Comme vous pouvez le voir sur l’image ci-dessous, le trafic entrant est le flux provenant d’un réseau, qu’il soit externe ou interne, dans l’interface du routeur. Le trafic de sortie, d’autre part, est le flux de l’interface sortant dans un réseau.
Pour qu’une ACL fonctionne, appliquez-la à l’interface d’un routeur. Étant donné que toutes les décisions de routage et de transfert sont prises à partir du matériel du routeur, les instructions ACL peuvent être exécutées beaucoup plus rapidement.
Lorsque vous créez une entrée ACL, l’adresse source passe en premier et la destination vient après. Prenons l’exemple de la configuration ACL étendue pour IP sur un routeur Cisco. Lorsque vous créez une règle Refuser/Autoriser, vous devez d’abord définir la source, puis l’adresse IP de destination.
Le flux entrant est la source de tous les hôtes ou réseaux, et le flux sortant est la destination de tous les hôtes et réseaux.
Quelle est la source si vous souhaitez bloquer le trafic provenant d’Internet ?
N’oubliez pas que le trafic entrant provient du réseau extérieur vers l’interface de votre routeur.
Ainsi, la source est une adresse IP d’Internet (une adresse IP publique de serveur Web) ou tout (masque générique de 0.0.0.0), et la destination est une adresse IP interne.
Au contraire, que se passe-t-il si vous souhaitez bloquer un hôte spécifique pour se connecter à Internet ?
Le trafic entrant provient du réseau interne vers l’interface de votre routeur et sort vers Internet. Ainsi, la source est l’adresse IP de l’hôte interne et la destination est l’adresse IP sur Internet.
Sommaire
Les ACL sont les filtres de paquets d’un réseau.
Ils peuvent restreindre, autoriser ou refuser le trafic essentiel à la sécurité. Une ACL vous permet de contrôler le flux de paquets pour une seule ou un groupe d’adresses IP ou différents pour les protocoles, tels que TCP, UDP, ICMP, etc.
Placer une liste de contrôle d’accès sur la mauvaise interface ou modifier par erreur la source/destination peut créer un impact négatif sur le réseau. Une seule instruction ACL peut laisser toute une entreprise sans Internet.
Pour éviter des performances négatives, il est essentiel de comprendre les flux de trafic entrants et sortants, le fonctionnement des ACL et leur emplacement. N’oubliez pas que le travail d’un routeur consiste à transférer le trafic via la bonne interface afin qu’un flux puisse être entrant (entrant) ou sortant (sortant).
Bien qu’un pare-feu avec état offre une bien meilleure sécurité, il peut compromettre les performances du réseau. Mais une ACL est déployée directement sur l’interface et le routeur utilise ses capacités matérielles pour la traiter, ce qui la rend beaucoup plus rapide tout en offrant un bon niveau de sécurité.
FAQ sur la liste de contrôle d’accès
Que contient une liste de contrôle d’accès ?
Une liste de contrôle d’accès (ACL) contient des règles d’accès à un service ou à une ressource. Le bénéficiaire peut être un utilisateur ou un système, tel qu’un logiciel. Lorsqu’elle est implémentée sur un routeur à la limite du réseau, une ACL agit comme un pare-feu, bloquant l’accès à partir d’adresses interdites et filtrant un contenu spécifique. Une ACL peut également être placée sur le trafic sortant. Des listes de contrôle d’accès peuvent également être configurées sur des commutateurs pour contrôler le trafic réseau interne. Les règles ACL peuvent être sophistiquées et combiner la source et la destination, ainsi, un utilisateur peut être bloqué de l’accès à certaines destinations sur le réseau.
Qu’est-ce qu’une liste de contrôle d’accès standard ?
Une liste de contrôle d’accès standard est l’un des quatre types d’ACL. Celui-ci évalue la source de chaque paquet passant par l’appareil contrôlé. Les trois autres types sont des listes de contrôle d’accès étendues, qui permettent un filtrage basé sur la source, la destination et le protocole ; ACL dynamique, qui examine la source et la destination et nécessite également une authentification de l’utilisateur via Telnet ; et l’ACL réflexive, qui coordonne les adresses source et de destination sur plusieurs paquets, n’autorisant un paquet que s’il s’agit d’une réponse à un paquet sortant.
Quels sont les différents types d’ACL dans le pare-feu ?
Lorsqu’elles sont utilisées dans des pare-feu, les ACL peuvent contrôler l’accès aux systèmes de fichiers ou aux réseaux. Ainsi, les deux types d’ACL sont les ACL réseau et les ACL de système de fichiers.